前回はMeraki Access ManagerにおいてMeraki DashboardとEntra IDをAPIを使って同期する方法をまとめました。
今回は、EAP-TLSで必要となる各証明書を発行する手順をまとめたいと思います。
今回の記事ではOpenSSLがすでにインストールされ利用できる状態から開始します。
ルートCA証明書の作成
ルートCAを作成するにあたりまずは秘密鍵の作成を行います。
openssl genrsa -out rootCA.key 4096
rootCA.keyが作成されます。
秘密鍵(rootCA.key)を使ってルートCA証明書の作成を行います。
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.crt -subj "/C=JP/ST=Tokyo/L=Minato-Ku/O=CandMOrg/OU=RootCA/CN=CandM Root CA"
rootCA.cerが作成されます。
ユーザ証明書の作成
次にクライアントにインストールするユーザ証明書の作成を行います。
まずは秘密鍵の作成を行います。
今回はEntra ID上にある"adelev@xcyl5.onmicrosoft.com"というアカウントのユーザ証明書の作成を行います。
openssl genrsa -out adelev.key 2048
adelev.keyが作成されます。
次にCSRの作成を行います。
openssl req -new -key adelev.key -out adelev.csr -subj "/C=JP/ST=Tokyo/L=Minato-Ku/O=CandMOrg/OU=Users/CN=adelev@xcyl5.onmicrosoft.com"
adelev.csrが作成されます。
次にCAでユーザ証明書の署名を行います。
openssl x509 -req -in adelev.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out adelev.crt -days 730 -sha256 -extfile <(printf "extendedKeyUsage=clientAuth\nkeyUsage=digitalSignature,keyEncipherment")
adelev.crtが作成されます。
最後にadelev.crtをPKCS#12形式にまとめます。
openssl pkcs12 -export -out adelev.p12 -inkey adelev.key -in adelev.crt -certfile rootCA.crt -name "adelev@xcyl5.onmicrosoft.com"
adelev.p12が作成されます。
Meraki DashboardにCA証明書をアップロード
OpenSSLで作成したCA証明書をMeraki Dashboardにアップロードします。
「アクセスマネージャー > 設定 > 証明書」へ移動します。
「Upload CA certificates」をクリックして先ほど作成したCA証明書(rootCA.cer)をアップロードします。
アップロードしたCA証明書が正しいことを確認します。
アップロード直後は「無効」となっているので、有効化します。
「状態」を「有効」にします。
また、「Identity」にユーザ証明書のどの項目にEntra IDのユーザ名が含まれているのかを選択します。今回発行したユーザ証明書ではコモンネーム内に"adelev@xcyl5.onmicrosoft.com"というEntra IDのユーザ名が含まれています。
有効となったことを確認します。
以上で作業は完了です。
